Názory k článku Regulace podle NIS2: Další zpoždění pro nový kyberzákon, proti jsou finance

NIS2 sam o sobe zbytecny neni a jeho myslenka zas tak spatna neni. Problem je narodni implementace - transpozice z pera NUKIBu a prilepky, co si tam dodali, protoze citili prilezitost, ktera dlouho zase nebude. S tim, ze kdyztak se to hodi na tu zlou unii...

Asponze MF zda se argumentuje pragmaticky - NUKIB si vymyslel agendy systemem "a chceme sbirat uplne vsechko" (velmi extenzivni vyklad clanku 23 NIS2), na ktere si nasledne narokuje tabulkova mista. Kritizovano je to od zacatku a od zacatku z NUKIBu rikali, ze prece smernice EU nebrani tomu zavest na narodni urovni vyssi prisnost. Bohuzel na NUKIBu nepochopili, ze kyberneticka bezpecnost neni o lejstrech a byrokracii, ty jsou dobre primarne pro alibisty. A nepochopili take, ze neumerne zvysovat administrativni pozadavky v dobe, kdy stat resi jak ufinancovat svuj chod proste nejde.

hlavně nepochopil, že politika a zákony není o objektivním nastavení hranic (z bezpečnostního hlediska je nutné mít pod kontrolou dodavatele), ale o konzensu více stran a více zájmů, že každá povinnost má dopad na povinné subjekty (mimochodem jejich náklady pořád nevyčístil a neanalyzoval).

Přistupují k tomu dost arogantně, nerozumí tomu, že musí dát čas na implementaci, na získání rozpočtů, na stanovení postupů. Vůbec se na problém nekoukají z druhé strany a jen pouze ze své.

Ukazuje se, že chybí mediátor, píšou si zákon sami pro sebe a to nebývá nikdy dobrý nápad, zejména u věcí, které mají široký celospolečenský dopad.

Představa, že mohou kdykoliv okamžitě zablokovat jakéhokoliv dodavatele, bez toho, aby daný dodavatel byl účastníkem nějakého řízení a měl prostředky se odvolat a bez toho, aby stát nesl jakékoliv dodatečné náklady s tím spojené, je dost absurdní a nejspíš i v rozporu s Ůstavou. (Tím nechci obhajovat Huawei a další, ale ten text je psaný obecně a může to postihnout kdykoliv kohokoliv bez předem jasných kritérií, to je pandořina skříňka).

V tomto směru bych "liknavost" leda podpořil, ba co, autor článku by si za tyhle hraběcí rady mě dát před zrcadlem pár facek, protože nic tak zbytečného jako je HNIS2 a NEKŇUKIB tahle země už dlouho neviděla.

Ale to přece hlásí podle současného ZoKB, ne? Tam hraje asi hlavní roli § 8, který ale mluví pouze o hlášení incidentů s významným dopadem, což je u nového návrhu přibližně shodné s poskytovateli v režimu nižšších povinností. Zatímco nově se budou pro poskytovatele v režimu vyšších povinností hlásit všechny incidenty z kybernetického prostoru (§ 16).

Nebylo by lepší tohle i zmínit? Pokud teď vám 400 společností nahlásí 18 incidentů měsíčně, nově to budete mít pro cca 6 000 - 12 000 společností v režimu nižších povinností nějakých 300 - 500 incidentů denně. Ty s těmi vyššími povinnostmi vás asi zaplaví hlášením, interně u klientů evidujeme v SIEMu tisíce různých pokusů o skeny/průnik/spo­jení denně. Prováděcí vyhláška ještě není, takže těžko říct, jak budou kritéria nastavena.

Mimochodem jsou někde tyhle statistiky viditelné? Osobně by mě to zajímalo.

naštěstí změna DPH je docela častá, je jasné co a jak změnit. Naopak vytvoření nového systému a implementace všech pravidel vertikálně do organizace je přece trochu něco jiného než změna DPH, ne?

Jenze ono v dnes platnem ZoKB je vyrazne omezeno, co se hlasit opravdu musi, kdezto navrh z pera NUKIBu ten zaber fakticky velmi rozsiruje. Pro urad je mimo jine zjevne moc prace rozlisovat to, co je ci neni vyznamny system ve smyslu dnesniho ZoKB - takze si to usnadnil tim, ze aplikoval pravidlo vyssi bere a do povinnosti hlasit spadnou vsechny systemy organizace, co spadne do rezimu vyssich povinnosti. Takze dovozovat z poctu dnes hlasenych incidentu to, kolik toho bude v budoucnu dost dobre nejde.

Vsak to videt i z vyporadani pripominek, co jiste k neradosti uradu uteklo na verejnost. NUKIB sam nedokaze vyhodnotit dopady a to i ty dopady financni. Soucasne se ale umele vytvari agenda - a dokonce se to urad nestiti do vyporadani napsat... aby pak mohl narokovat u MF navyseni tabulkovych mist, ze? Z pohledu Uradu je zadouci shromazdovat informace i o mene vyznamnych incidentech take pro doplneni sirsiho pohledu a zasazeni do kontextu ochrany kybernetickeho prostoru - to je presne vec, co NIS2 po nikom nechce, to je nesmysl, co jste si umele vymysleli na uradu... byrokracie a agenda navic (co sezere lidi a tedy i penize), jen vykazovani nejake cinnosti, strkat si to do tabulek a jednou za mesic pustit na verejnost nejaky report.

A pritom i ten report vas praskne, ze vlastne radi pouzivate neaktualni software (PDF-XChange 10.1.1 ze zari, kdy v mezicase vysly dve dalsi verze obsahujici pry i nejake bezpecnostni opravy) ;-) A ten jeste v lete pouzivany Request tracker jste si z verze 4.0.20 z kvetna 2014 uz aktualizovali na neco, co uz neni tak derave? :-) Aneb kdopak nam hlida toho kyberbezpecnostniho hlidace... ze? To se to zvani o tom, jak maji bezpecnost resit druzi....

Můžeš lépe zdrojovat co myslíš tím "Podle současné ZoKB se hlásí všechny incidenty bez ohledu na dopad"? Protože to mi nepřipadá správné, např. mnou zmiňovaný § 8, jasně omezuje hlášení pouze na ty s významný dopadem a ještě jen pro ty kritické systémy (novelizace zahrnuje všechny systémy). Pokud by se hlásily všechny, nebude to asi v průměru jeden za dva roky.

Vždyť sám NÚKIB argumentuje, že chce všechny incidenty, protože ty nevýznamné mohou být předzvěstí těch významných (jejich slova). Skenování (či takové očuchávání infrastruktury) nám právě jmenovitě bylo uvedeno jako příklad toho, co se právě hlásit nově bude.

Pokud se jich nebude hlásit stovky denně, proč chce NÚKIB desítky lidí navíc? Vždyť sám NÚKIB s podobným nárustem pracuje. Není to trochu v rozporu? Já tady použil obyčejnou aproximaxi podle počtu subjektů, nově těch subjektů bude 20x tolik, čekám, že i počet incidentů bude 20x vyšší, ne?

19. 12. 2023, 14:10 editováno autorem komentáře

Tohle už je jen čistý trolling, že?

§ 13 
Stanovení rozsahu řízení kybernetické bezpečnosti poskytovatelem regulované služby
(1) Poskytovatel regulované služby
a) identifikuje všechna primární aktiva v rámci celé organizace,
b) určí, která primární aktiva identifikovaná podle písm. a) souvisejí s poskytováním regulované služby,
c) u primárních aktiv určených podle písm. b) identifikuje a určí související organizační části organizace a podpůrná aktiva.
(2) Organizační části a aktiva identifikovaná podle odstavce 1 písm. b) a c) tvoří rozsah řízení kybernetické bezpečnosti (dále jen „stanovený rozsah“).

"Přistupují k tomu dost arogantně, nerozumí tomu, že musí dát čas na implementaci, " ...

Ehm ... zmena dph byla schvalena pokud si pamatuji minule utery. Takze na implementaci mate tyden.

Vy jste se zacyklil u argumentace skrze ty dopady. Ale systematicky prehlizite to, ze systemu, ktere do one reportovaci povinnosti spadnou bude vic, vzhledem k tomu ze to budou plosne vsechny aktiva diky pravidlu "vyssi bere vse" aplikovanym na organizaci a nikoliv jen ty kriticka aktiva, jak tomu je dneska. A to i u dnes existujicich povinnych osob. Plus samozrejme z tech ctyr stovek dnes povinnych nove vzniknou radove tisice... aneb ad absurdum bude kriticka i pokladna v kantyne na Vnitru.

§ 8 odst. 1 zákona č. 181/2014 Sb.: „Orgány a osoby uvedené v § 3 písm. b) až f) jsou povinny hlásit kybernetické bezpečnostní incidenty v jejich významné síti, informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury, informačním systému základní služby nebo významném informačním systému, a to bezodkladně po jejich detekci.”

Není tam omezení na významný dopad. Skenování je typická kybernetická bezpečnostní událost (KBÚ), která je podle současného zákona nutné detekovat, ale není nutné ji hlásit. Nový ZoKB na tom pokud vím nic měnit nemá.

Pro kybernetické bezpečnostní incidenty (KBI) platí ještě dvě povinnosti ze VoKB a to že subjekt „prošetří a určí příčiny kybernetického bezpečnostního incidentu” a „vyhodnotí účinnost řešení kybernetického bezpečnostního incidentu a na základě vyhodnocení stanoví nutná bezpečnostní opatření, popřípadě aktualizuje stávající bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního incidentu.” Z toho plyne, že incident je něco, čemu organizace musí předcházet, aby se neopakoval. Skenování se téměř nedá předcházet.

Ano, je tu nudne. Stale zcela ignorujete argument, ze povinnost hlasit incident se dnes tyka konkretnich urcenych systemu a nikoliv plosne organizace jako celku (vsech jejich systemu), tak jak to nove zavadi transpozice NIS2 z pera NUKIB - alespon ve verzi, kterou ma verejnost k dispozici dnes.

A dokud se na urade nebudete obtezovat zverejnit prepracovane zneni, budu pochopitelne i nadale pracovat s tim, co verejne dostupne je - a to je material v eKLEPu. Uz davno jsme meli byt dal (konec listopadu davno za nami a porad nikde nic), oficialne se zatim tutla i to vyporadani pripominek - i to muselo leaknout neoficialni cestou. Kampak se podela ta udajna otevrenost uradu je zahadou - pravdepodobne se bojite, ze by zverejnenim prepracovanych verzi (klidne ve fazi pracovniho draftu) dalo vice casu oponentum. A tak nyni radeji tutlate co muzete. Nic vam nebrani prokazat pravdivost svych tvrzeni, ze to bude specifikovano lepe - zatim je to jen pani Colombova - nikdo to nevidel.

A dopady celeho pocinani NUKIBu budou jen horsi - jsme sotva na zacatku celeho legislativniho procesu a NUKIB to ted proste navenek brzdi. Az to bude ve Snemovne, tak se tam budou dolepovat veci pod casovym tlakem. A ze zbrkle delane zmeny muzou nadelat vic skody nez uzitku jsem si shodou okolnosti uzil v sobotu na jedne valne hromade jedne organizace - kde shora to omezoval cas, kdy se musel sal vyklidit. A cim vic se blizil konec, tim vetsi nesmysly se objevovaly. No, delate to na tom urade skvele, to fakt nemuzeme rict ;-) Osvetovy web mate, nic vam nebrani publikovat informace casteji... ze tak necinite je vase rozhodnuti

V současné době přibližně 400 organizací reportuje průměrně 18 incidentů měsíčně. To znamená, že opět průměrně má organizace incident jednou za dva roky. To jen k tomu „chceme sbirat uplne vsechko”.

"a jednou za mesic pustit na verejnost nejaky report."

Vzhledem k te atualne publikovane tvorbe bude radove efektivnejsi a levnejsi nechat to generovat GPT, a jeste to navic bude mit i smysl.

Nikoliv, v tom fyzickem svete bude incidentem uz jen samotne vypaceni zamku.

Takze kdyz vam vlezu do te serverovny, ohnu si opticke vlakno sikovne tak, abych cast signalu odbocil do TAPu, tak to teda taky neni incident? :-) Kdyz jsme u toho fyzicna.... prece nikde nic nevypadne a ani nemusite zjistit, ze je ta komunikace napichnuta... fakt zajimave pojeti bezpecnosti na tom urade mate, jen co je pravda. A pak se divime, jak nam to statni IT skvele (ne)funguje.

Primer s fyzickym svetem jste sem vnesl vy. Ale ono i kybernetickou bezpecnost ovlivnuji i ty veci z toho fyzickeho sveta a nejde to od sebe oddelovat. Hodnoceni toho, co je ci neni kyberneticky bezpecnostni incident z pohledu zakona ja radeji prenecham pravnikum. A ja vim, ze jsou pravnici, co se s tim vasim vykladem neztotoznuji.

Máš pravdu, slovo "významný dopad" je až u odst. 2 téhož paragrafu. I odst. 1 ale výčtově výrazně omezuje to, jaký incident v jakém systému se má hlásit, což v novelizaci již není a zahrnuje to všechny systémy subjektu v režimu vyšších povinností.

Doteď lze skenování filtrovat před kritickým systémem, tak aby se k němu nedostalo. Nově to ale nebude možné a bude součástí hlášení, protože může narušit bezpečnostní politiky nebo zásady (což tam obvykle logicky je). Vždyť zrovna absurdita toho hlásit vše je věc, kterou jsme nejvíce kritizovali a NÚKIB na jednáních za tímhle jasně stál, vždyť tak i v připomínkách jasně argumentuje.

Ano, diskutujeme tu fakt, ze vy mate pocit, ze vas vyklad zakona je ten jediny spravny. Jenze on neni. Organizace, na ktere regulace dopadne se nebudou ridit tim, co tady napisete vy - ale poslechnou primarne sve pravniky, jehoz interpretace muze byt (a bude) jina, treba uz jen kvuli predbezne opatrnosti. To, ze vam na urade zbudou oci pro plac a nebudete stihat zpracovavat hlaseni... ehm... nikoho zajimat nebude. Dan za to, ze chcete vedet vsecko, vsak to pisete i ve vyporadani pripominek, ze? ;-)

Zjevne jste prehledl komentar nize a vetu Z pohledu Uradu je zadouci shromazdovat informace i o mene vyznamnych incidentech take pro doplneni sirsiho pohledu a zasazeni do kontextu ochrany kybernetickeho prostoru. Tu jsem si ja opravdu nevymyslel, tu napsal vas urad do vyporadani pripominek. To je priklad zbytecne a naprosto umele vytvorene agendy, kterou se nasledne oduvodnuje potreba vzniku dalsich pracovnich mist. A to jste fakt tak naivni, ze si myslite ze s textem vyporadani pravnici pracovat nebudou? Je to skvely material umoznujici vhled do mysli urednika odtrzeneho od reality sveta venku. A z vet typu Vyuziti institutu upusteni od ulozeni spravniho trestu se s ohledem na specifickou povahu a charakter regulovanych subjektu a zavaznost upravovanych prestupku nejevi vhodne. je zrejme, ze o bezpecnost tady ve skutecnosti vubec nejde.

Na to se spoléhalo doteď a moc to nepomohlo. GDPR neimplikuje, že školka musí mít souhlasy, to je jen špatná implementace. Souhlas je nutný až při zveřejnění díla, např. poslání do soutěže, což ale platilo i před GDPR jen se to nedodržovalo.

Ne, zmena DPH neni nijak casta a realita je, ze treba vrchni ucetni od meho zakaznika byla na nejakem briifingu ... a urednici z financni spravy vlastne ve spouste situaci netusi, jak se to ma udelat.

Priklad... kdyz si nekdo po novem roce da kavu s mlekem, bude ho to stat vic, nez kdyz si da kavu a mleko. Jenze co kdyz si to objedna a zaplati jeste letos?

Nekolik mych zakazniku se tak rozhodlo, ze proste vypnou sve eshopy jiz tento tyden, nez by neco takoveho resili.

Jiny zakaznik ma ve svem systemu cca 50 000 zbozovych polozek. Kazdou jednu musi nekdo zkotrolovat a zaradit to spravne sazby. A ne, nejde to delat ani nijak hromadne, jednoduse proto, ze jako bonus viz predchozi, u casti z nich zalezi i na tom, jak se prodavaji.

A samozrejem to neni zdaleka vse, a jak sem psal, je na to tyden. Vlasne uz ne, 3 dny.

Na tvé konspirační teorie reagovat nebudu, ale na tu povinnost hlásit incidenty z organizace jako celku ještě ano, protože tím můžeš zmást i někoho jiného.

Když se podíváš do návrhu nového zákona a najdeš si § 13
Stanovení rozsahu řízení kybernetické bezpečnosti poskytovatelem regulované služby, tak tam se dozvíš, že stanovený rozsah jsou ty primární a podpůrná aktiva, které souvisí s poskytováním regulované služby.

O dvě stránky dál máš § 16
Hlášení kybernetických bezpečnostních incidentů, kde se píše „Poskytovatel regulované služby v režimu vyšších povinností je povinen v rámci stanoveného rozsahu hlásit Úřadu všechny kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru.”.

Takže velmi obdobný princip, který platí nyní. Myslím, že je opravdu čas vyměnit vašeho právníka.

Ano - §16 rika, ze je treba hlasit vsechny incidenty. §16 neobsahuje zadna omezujici kriteria uvedena v §13. A toto podporuje i NUKIB v leaknutem vyporadani pripominek, kdy tam sam urad napsal, cituji:

Požadavek na hlášení všech kybernetických bezpečnostních incidentů bez ohledu na to, zda mají významný dopad, reflektuje skutečnost, že poskytovatelé regulovaných služeb v režimu vyšších povinností jsou z povahy věci zejména subjekty, jejichž chod je stěžejní pro zajištění bezpečnosti státu či fungování státu jako takového. Incidenty s významným dopadem mnohdy vznikají z incidentů bez dopadu, proto je vhodné je detekovat u těchto subjektů už od počátku. Z pohledu Úřadu je žádoucí shromažďovat informace i o méně významných incidentech také pro doplnění širšího pohledu a zasazení do kontextu ochrany kybernetického prostoru České republiky, a případné sledování dalšího vývoje u subjektu, ale i možných trendů v rámci okruhu všech povinných osob.

To se tykalo prave toho §16. Zda se mi to, nebo vy nam tu vlastne popirate vyjadreni sveho vlastniho uradu, co vas zivi? :-) Mimo jine prave i ten siroky rozsah vyzadovanych informaci ze strany uradu generujici zbytecnou administrativni zatez byl predmetem kritiky - a urad ty pripominky neakceptoval. Tak tu prosim alespon nelzete. Nikde tam neni ani carka o tom, ze tak to fungovalo doted - narozdil od jinych bodu tech pripominek. Nehlede na to, ze samotne "doted se to tak delalo" neni samo o sobe validni argument.

Už fakt netuším, jak jasněji to napsat. To kritérium jsem vám dokonce zvýraznil. Zkusím to znovu, tentokrát tučným.

„Poskytovatel regulované služby v režimu vyšších povinností je povinen v rámci stanoveného rozsahu hlásit Úřadu všechny kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru.”

Všechny kybernetické bezpečnostní incidenty ve stanovaném rozsahu. Pokud se incident stane mimo stanovený rozsah, hlásit se nemusí. Logicky když ani organizace nemá povinnost mimo stanovený rozsah incidenty detekovat, jak by je mohla hlásit.

"Tohle už je jen čistý trolling, že?"

Nechapu, jak muze byt nekdo takhe negramotny (co ovsem chapu, zje, ze pracuje pro stat, nikde jinde by si ani na suchy chleba nevydelal)... ten odcitovany text jednoznacne znamena, ze hlasit se musi uplne vse, protoze vse se vsim souvisi.

Kdyz administrator takoveh sytemu cestou an toaletu zakopne, je to incident, ktery je treba ohlasit, protoze mu tam mozna nekdo ten schod dal s umyslem mu zabranit provest nejakou akci na ochranu toho systemu. Zcela v souladu se zakonem.

Takze jedny kdo tu opakovane a setrvale blaboli jste prave vy!

primární + související + podpůrná aktiva jsou zahrnuta, vč. toho co ještě nebylo identifikováno. Kámen úrazu je v tom "podpůrná", to totiž zahrnuje vlastně vše, zaměstnance, dodavatele (další velký třecí bod), systémy v kantýně na výdej jídel (potvrzeno ústně při jednání s NÚKIB). Tohle v současném ZoKB není a je to obrovský rozdíl.

Jsem rád, že tady nějaká diskuze je a že k tomu někdo reaguje, není ale slušné hned všechny, kteří něco nechápou nebo tomu nerozumí označovat za troly. Sám se věnuje samotnému návrhu a implementaci bezpečnostních mechanismů do kritických systémů, do legislativy a zákonů vidím jen rozmazaně a rád se poučím.

Vy opakovane hovorite vylucne o aktivech, ale pasaz o organizacni casti z te Vasi citacejste boharovne preskocil. Vypujcime si k tomu z duvodove zpravy...

Organizačními částmi a podpůrnými aktivy souvisejícími s poskytováním regulované služby je nutno rozumět takové organizační části a aktiva, která mají vazbu na primární aktiva související s poskytováním regulované služby [určena podle odstavce 1 písm. b) tohoto ustanovení]. Organizační části představují vybrané organizační celky poskytovatele regulované služby, které se např. podílí na zajišťování fungování regulované služby či jsou její uživatelé.

Aktiva sama o sobe by problem nebyly, ty organizacni casti a vazby uz ano. To je to, co zaber rozsiruje. Tak jak je to napsane ted - diky tem organizacnim castem - do toho spadne podstatne vic veci.

A vime, proc to tam vzniklo, to v te duvodove zprave mame take....
Nestanovení nebo nedostatečné stanovení rozsahu řízení kybernetické bezpečnosti představuje zásadní problém, který Úřad při kontrolách prováděných podle zákona o kybernetické bezpečnosti identifikoval. Z toho důvodu došlo v rámci návrhu zákona k podrobné úpravě postupu pro jeho stanovení.

Ano, uradu se to blbe kontrolovalo, kdyz se slo jen po tech aktivech - o tom to cele ve skutecnosti je, proto tam vznikaji v ramci transpozice NIS2 tak kostrbate konstrukce (ktere NIS2 nevyzaduje). Urad si vymysli zpusoby, jak si sam pro sebe usnadnit zivot, jak mit svou cinnost jednodussi. Proto cely princip "vyssi bere vse".

Jednoduche pro urad, slozite pro povinne osoby. Akorat jste u toho zapomeli, ze urad je tu od toho, aby poskytoval sluzbu. Ne aby tu vsichni okolo skakali, jak vy pisknete. I kdyz to byste taky radi, viz text § 18, odstavce 3 a zde obsazene magicke slovicko kazdy.

argumentovali stejně jak vy, citací návrhu. Danny zmiňuje "organizační části", ano, to může být ten zlomový termín, který to výrazně rozšiřuje.

Tvrdíš tady, že se rozsah nezvedne, ale právě v uniklém vypořádání připomínek je několikrát vytýkáno, že se neuměrně mění rozsah a NÚKIB to obhajuje a nerozporuje.

Ty tady mluvíš o tom, že vše zůstává při starém, podobný postoj jde cítit při prezentaci NÚKIBu navenek. Jakmile ale člověk zasedne ke stolu (spolupracuji s jednou z velkých cz bank), dozví se, že ty představy jsou jiné. Samozřejmě pro velké organizace ten proces změn musí začít již teď, aby se to stihlo. On vlastně i požadavek na identifikaci všech primárních aktivit a jejich součástí je obrovsky náročný, udělat katalog veškerých aktivit, identifikovat ty primární, u nich jejich závislosti je něco, co v takovémhle stavu ty organizace neevidují.

Nebo třeba v případně hlášení bezpečnostních incidentů zmizela podmínka na významný dopad, to třeba v případě operátorů zmamená hlásit každý výpadek či přetížení BTS nebo obecně site (který není součástí údržby, samozřejmě). V případě bank do toho zapadají i nefunkční bankomaty. To jsou přesně ty třecí místa, která řešíme implementačně, protože řada těhle míst není centrálně řízena, jsou outsourcována či udržována dalším dodavatelem, je jich enormně moc. Nebo třeba v případě ISP, má jít hlášení bezpečnostního incident až na úroveň poruchy klientských routerů? Nedostupnost služby je bezpečnostní incident, zjištění jestli důvodem je vnitřní nebo vnější zásah je věc, kterou je potřeba nově sledovat a identifikovat, teď je filtr, že nedostupnost musí být významná, tedy plošná. Implementaci těhle věcí jsme už začali, protože operátoři a banky to začaly poptávat, protože potřebná doba je výrazná a konkrétní odpovědi ještě oficiálně nezazněly.

No, tak si opet vypujcime z vyporadani pripominek...
Vzhledem k nemožnosti tyto dopady blíže vyhodnotit a specifikovat, což je rovněž způsobeno nemožností předvídat konkrétní dopady navrhované regulace, jsou tyto dopady popsány na určité úrovni obecnosti, kterou však NÚKIB považuje za vhodnou vzhledem k požadavkům na psaní dopadů regulace RIA.

To je vazne zajimave. Vy tu opakovane mate jasno v tom, ze k zasadni zmene nedochazi - ale pritom i vas urad formalne sam argumentuje, ze vlastne nevi, co ta regulace bude mit vlastne za dopady... nemate tak trosku problem s komunikaci i uvnitr uradu? ;-)

Co je na NIS2 špatného? Proč? Jak bys to řešil jinak?

Podle současné ZoKB se hlásí všechny incidenty bez ohledu na dopad, nový ZoKB podle současného návrhu pro režim vyšších povinností nic zásadního měnit nebude, dokonce se hlášení má omezit jen na ty z kyber prostoru – v současném ZoKB takové omezení není.

V režimu nižších povinností se určitě nebude hlásit stovky incidentů denně. Pokus o sken/průnik/spojení fakt není incident dle ZoKB. Sken může být KBI snad jen v případě, že na základě něj dojde ke shození nějakého systému.

Vy píšete o „incidentu”, já píšu o „kybernetickém bezpečnostním incidentu”. Samotné slovo „incident“ zákon nezná, klidně si ho v rámci své organizace definujete a používejte jak chcete. Takže v pohodě, pokud si v rámci vaší organizace za incident budete považovat vypáčení zámku, o kybernetický bezpečnostní incident ve smyslu ZoKB se jednat nebude.

U napíchnutí komunikace bude záležet, jaké data kabelem proudí, zda a jak jsou šifrovaná.

Narušení bezpečnostních politik a zásad není kybernetický bezpečnostní incident. Tím je opravdu pouze narušení dostupnosti, důvěrnosti nebo integrity informací, což opravdu skenování téměř nikdy nesplní (až na specifické případy, kdy třeba systém na základě toho spadne a dojde k narušení dostupnosti systému).

Stačí se podívat do zákona: „Kybernetickým bezpečnostním incidentem je narušení bezpečnosti informací (...)” a „bezpečností informací (je) zajištění důvěrnosti, integrity a dostupnosti informací a dat.” Musí dojít k narušení, aby to byl kybernetický bezpečnostní incident.

Když to vztáhnu do fyzického světa: přijde chlápek k serverovně, zkusí, jestli je zamčeno, vypáčí zámek, vypáčí rack, vytáhne napájecí kabel od redundantního serveru a následně vytáhne napájecí kabel od druhého serveru v HA. Až tím posledním (nebo předposledním dle způsobu fungování systému) krokem došlo k KBI, protože teprve tehdy přestala služba fungovat a došlo k narušení dostupnosti, všechny kroky předtím byly jen KBÚ.

Takže celou dobu tady řešíme, co je kybernetický bezpečnostní incident ve smyslu zákona a teď říkáš, že to radši necháš právníkům.

S tím že fyzický svět ovlivňuje ten kybernetický naprosto souhlasím a jak uvádím výše, odpojení serveru od elektřiny může být kybernetický bezpečnostní incident právě proto, že fyzický svět ovlivnil ten kybernetický.

Jsem rád, že jsme se dostali ze stavu „NUKIB si vymyslel agendy systemem chceme sbirat uplne vsechko” do „máme špatného právníka, který nám z předběžné opatrnosti bude přidávat práci na rámec zákonné povinnosti”.

A ten stanoveny rozsah je kde, ze se tak smele ptam? :-) Aha, nikde. To je dalsi vec, ktera nikde definovana vlastne neni. A dokonce k tomuto ani neni zmocujici ustanoveni v §55 (ktere i tak byly take predmetem kritiky), takze pokud to NUKIB do nejake vyhlasky nedejboze napise, tak tim vlastne prekroci kompetence dane tim zakonem, co ale sam vyrobil.... smirte se s tim, ze jste na NUKIBu vyprodukovali dost nedomysleny paskvil ;-)

Zbytecna vec. Spolehal bych na neviditelnou ruku trhu, nis2 stejne vubec nic nevyresi. Viz Gdpr a souhlasy s povesenim obrázku ve skolce na nastence.

Méně je někdy více. Ale to úředníkům nevysvětlíš...

Už mě to nebaví. Přesně jsem vám tady citoval zákon a současný stav, kdy jakýkoliv (závažný i méně závažný) kybernetický bezpečnostní incident se průměrně děje v současné době regulovaných organizacích jednou za dva roky. Platí to tak deset let. Nový zákon dokonce plánuje omezit, které incidenty je nutné hlásit. Ale vy si stále jedete vlastní linku o tom, že radši budete hlásit každou kybernetickou bezpečnostní událost i když to po vás nikdo nechce. Pokud to tak chcete dělat, tak to tak klidně dělat pro mě za mě můžete, ale je to jen a pouze vaše rozhodnutí.

A jak se to liší od současného stavu? Vždyť tak to přesně už funguje teď, že si organizace identifikuje primární a podpůrná aktiva a hlásí kybernetické bezpečnostní incidenty v rámci podpůrných aktiv, které identifikovala. Jak vám na tom ústním jednání argumentovali, že se to týká i systému v kantýně?

Podpůrná aktiva jsou už dnes dle současné vyhlášky „technické aktivum, zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního a komunikačního systému”.

Nevím, kde se bere přesvědčení, že do teď bylo nutné hlásit jen incidenty s významným dopadem – taková podmínka v současném zákoně není.

Zbytek jsou relevantní připomínky, ale tam pokud vím taky nedochází k zásadní změně, neboť k určování rozsahu systému docházelo už nyní, tzn. že regulovaný organizace podle současného zákona si už tímto procesem musely projít. Nebo v čem je podle vás ta hlavní změna oproti současnému znění?